Появился чужак - администратор......

[Моника]

Здравствуйте! Зайдя на свой форум SMF 1.1.4  увидела нового пользователя с правами администратора. Я была в шоке...
Зашла в админ панель, удалила его с группы и забанила. Посмотрела логи ошибок форума, в течении 20 минут он посылал запросы какие то
.............action=theme;sa=admin;sesc..........
.............action=theme;sa=install;theme.......
..............action=theme;sesc..............
.............action=theme;sa=pick;u=-1;sesc..........
..............action=theme;sesc..............sa=edit;filename=index.php

На первый взгляд с форумом вроде все в порядке, я это обнаружила примерно час назад. Помогите пока не поздно, что мне делать и какая у него была цель?

[digger®]

Помогите пока не поздно, что мне делать

Для начала обновить форум до последней версии.

[Моника]

Хорошо, а что это даст? А инфа сохранится?

[Yworld_garry]

Каждая последующая, устраняет баги пред идущей.
Инфа сохраниться.
Все действия из админки, форум напишет если что не так при обновлении.

Да и существует не один вариант получить то что у тебя вышло.
Так что начни с обновления.

[Моника]

Немного переживаю если что то пойдет не так. Я неумею сохранять данные. Нужно ли ставить форум на тех обслуживание при обновлении?

[Yworld_garry]

Обновление займёт 20 секунд, или чуть больше.
Поставь хуже не будет.
А вот бекап файлов и дамп базы,полезно иметь всегда.

[Моника]

Мне выдает ошибку

Некоторые файлы, которые менеджер пакетов должен изменить, не имеют прав на запись. Измените эти права, используя FTP.
550 Can't change directory to /forum: No such file or directory

Мне папку форум выставить 777 ?

[digger®]

Мне выдает ошибку

Некоторые файлы, которые менеджер пакетов должен изменить, не имеют прав на запись. Измените эти права, используя FTP.
550 Can't change directory to /forum: No such file or directory

Мне папку форум выставить 777 ?

Вы когда по фтп заходите, ведь не сразу в папке форум оказываетесь. Вот и надо путь целиком указать.

[Моника]

38 позиций успешно обновились, ошибок не было )) И форум теперь SMF 1.1.5 .

Что мне теперь делать, как узнать что изменял или делал на форуме чужак и какая у него была цель?




В логах ошибок форума он очень много отсылал запросы... Зашла на фтп в паку форум. В то время когда он был на форуме изменялась одна папка Themes, в этой папке были изминения в папке blackTed, она пустая... Не помню, должно так быть или нет

[digger®]

38 позиций успешно обновились, ошибок не было )) И форум теперь SMF 1.1.5 .

Вообще-то текущая 1.1.6

[Моника]

Спасибо, просто сейчас все мысли о том что произошло...
Без ошибок обновился форум до 1.1.6.


В общем на сколько я понимаю, он инсталировал что то action=theme;sa=install в папку Subs-Package.php    The script whose uid is 2381 is not allowed
Там много чего написано, просто мне кажется, что все это на форум выставлять нельзя.
Форум обновлен, ему уже ничего не грозит? Или чужак сможет как то управлять имея данные с той папки?

[Yworld_garry]

Всё что заливалось, изменялось не тобой, не имеет права на жизнь.
Если тебе залили шел или ещё какую гадость, нужно удалять.
Вообще-то не плохо сравнить код файликов с оригиналом если нет рабочего бекапа.
Посмотреть на хосте незнакомые файлики. Сменить пароли на фтп и форум.
Посмотреть хотя бы на взгляд в исходном коде незнакомые участки.
Чудес не бывает.

[Моника]

Всем большое спасибо за поддержку и помощь! Я так поняла, что форуму уже почти ничего не угрожает ) Бекапа нет, буду потихоньку смотреть что там и как.

Посмотрела информацию по этому человеку, в инете предлагает не совсем законные махинации. Завтра буду звонить его провайдеру, надеюсь примут меры если у них фиксируются что делают их пользователи. Странно, но он не через прокси был...

[Avdenago]

Бекапа нет, буду потихоньку смотреть что там и как.

Ну так сделать.

Хотя бы базы форума. Про файлы и аватары не говорю - иногда их общий размер не позволяет сделать их бэкап. Хотя при должном старании можно и это.

А бэкап баз данных можно сделать через админку форума в Обслуживании.

[Моника]

А бэкап баз данных можно сделать через админку форума в Обслуживании.

Сделала )) А в случае чего, как бэкап обратно залить?

[Vysotnik]

Сделала )) А в случае чего, как бэкап обратно залить?

а обратно через сторонние инструменты для работы с БД,
стандартно для этого используется ПхпМайАдмин,
если же нет доступа к такому инструменту через хостинг-панель (бывает и такое), то можно его скачать с родного сайтика и поставить самостоятельно 

к стати, проблема взлома форума весьма вероятно была связана как раз с той проблемой, о которой ты до недавних пор не догадывалась, судя по твоему диалогу выше:
разрешения на файлы и папки выстави грамотно, чтоб туда всякую гадость не писали все кому не лень и грамотно .htaccess надо прописать опять же

[888dobriy]

нужно переходить на более новую версию, всегда.

новый админ на 95% появился из-за дыры версии 1.1.4.

[digger®]

нужно переходить на более новую версию, всегда.

новый админ на 95% появился из-за дыры версии 1.1.4.

В студию работающий вариант использования некой дыры в 1.1.4

[Mavn]

Digger
есть рабочий вариант только вот для этого нужна сессия админа чтобы добавить пользователя в нужную группу я не тестировал на последних версиях на судя по всему работает. Кинул в личку пример. Не для распространения

[Vysotnik]

хуже, что какая то дыра есть и в последней версии 1.1.6 

у меня в статусной странице периодически возникает такая странная картинка (во вложении)
и помоему это относится каким то боком к этой теме - статуса администратора этот "гость" не имеет, но, вообще как "гость" смог себе включить невидимость, да ещё и от админа? - попахивает взломом

[Mavn]

Хехе ищите дальше эту дыру в том же направлении .

[Моника]

Digger
для этого нужна сессия админа чтобы добавить пользователя в нужную группу я не тестировал на последних версиях на судя по всему работает.

Это значит, что я с админ панели куда то перешла и меня поймали на этом?

[Yworld_garry]

Моника, нет, переходите спокойно.
В данном случаи нет.

[Vysotnik]

Это значит, что я с админ панели куда то перешла и меня поймали на этом?

ну может и перебдел
- наблюдл подобную картину давно, раньше просто не придавал ей значения, поскольку последствий существенных не наблюдал, а в логах тоже ничего "такого"

а тут решил версию выдвинуть на всякий "пожарный" - вдруг кто сталкивался и объяснит это простыми багами двигла форума, к чему я всё же склоняюсь
ЗЫ приятно всё ж иметь разумное объяснение, чем на одно авось пологаться

[bbbbbb]

спуфинг ip

[Mavn]

bbbbbb просветите неграмотных что есть спуфинг ip

[kaiman]

bbbbbb просветите неграмотных что есть спуфинг ip

открываем википедию и читаем:
IP-спуфинг (от англ. spoof — мистификация) —

   1. Вид хакерской атаки, заключающийся в использовании чужого IP-адреса с целью обмана системы безопасности.
   2. Метод, используемый в некоторых атаках. Состоит в проставлении в поле обратного (source) адреса IP-пакета неверного адреса. Применяется с целью сокрытия истинного адреса атакующего, с целью вызвать ответный пакет на нужный адрес и с иными целями.

Протокол транспортного (4) уровня TCP имеет встроенный механизм для предотвращения спуфинга — так называемые номера последовательности и подтверждения (sequence number, acknowledgement number). Протокол UDP не имеет такого механизма, следовательно, построенные на его основе приложения более уязвимы для спуфинга.

[Mavn]

kaiman
ну вообще то если обратите внимание то вопрос адресовывался именно bbbbbb
что это такое мы по роду деятельности знаем 

[kaiman]

kaiman
что это такое мы по роду деятельности знаем 

ну я надеюсь что знаете
это я так в целях повышения общей образованности 
хотя это уже флуд пошел...

[bbbbbb]

кандидат наук СССР 

Mavn, я не говотрил что это такое потому что не знаю, на вопрос: куда то перешла и меня поймали на этом? не прозвучал ответ, спуфинг это ты прост смотришь трафик, и там видна эта сессии четко, если не зашифрованное соединение, но вообще-то у меня стоит форум 1.3, если есть сессися админа, то перевести какого-то пользователя нельзя, потому что спрашивается пароль...

а вообще обсуждать не чего
(больше должен сказать гуголЪ.комЪ)

[Моника]

а вообще обсуждать не чего

Как не чего? По моему все интересное только начинается 

[A.Bercut]

подобную ситуацию однажды вычислил в взломе именно по ftp, поэтому рекомендую проверять PC на наличие троянов и по возможности не сохранять пароль для автозаполнения

[Kykapa4a]

Через phpmyadmin. Такой пункт должен быть у вас в панели администрирования на хостинге. По другому в Cpanel.

[Stern]

Здравствуйте! Зайдя на свой форум SMF 1.1.4  увидела нового пользователя с правами администратора. Я была в шоке...
Зашла в админ панель, удалила его с группы и забанила. Посмотрела логи ошибок форума, в течении 20 минут он посылал запросы какие то
.............action=theme;sa=admin;sesc..........
.............action=theme;sa=install;theme.......
..............action=theme;sesc..............
.............action=theme;sa=pick;u=-1;sesc..........
..............action=theme;sesc..............sa=edit;filename=index.php

На первый взгляд с форумом вроде все в порядке, я это обнаружила примерно час назад. Помогите пока не поздно, что мне делать и какая у него была цель?

Хоть и давно это было, но может быть небесполезно всем.

Именно через эту тему на два моих проекта этим летом был залит шелл.
Хакерские инструкции легко находит Яндекс (Форум АНТИЧАТ - Faq по Smf (Заливка шелла)!)

[digger®]

Именно через эту тему на два моих проекта этим летом был залит шелл.
Хакерские инструкции легко находит Яндекс (Форум АНТИЧАТ - Faq по Smf (Заливка шелла)!)

Для этого админский аккаунт нужен.
А уязвимости в обработке вложений (Kris Barteo) закрыты в SMF 1.1.7 или 1.1.8.

[trora]

Хакерские инструкции легко находит Яндекс (Форум АНТИЧАТ - Faq по Smf (Заливка шелла)!)

яндекс говорит что сам форум ихний содержит вредоносный код.

[GeorG]

Наверно входе экспериментов, взломали сами себя

[Stern]

Для этого админский аккаунт нужен.
А уязвимости в обработке вложений (Kris Barteo) закрыты в SMF 1.1.7 или 1.1.8.

Старина Крис - ну кто ж его не знает?)) - но он здесь точно не при чём(
А вот как было залито? - уже не узнать - хостинг поменяли.
Но совершенно точно, что не через админский акк.
Хотя можно попытаться найти логи тех времён (у того же бывшего хостера)

Наверно входе экспериментов, взломали сами себя

Вы про унтер-офицерскую вдову? - да-да, она такая шалунья!)